在.NET开发中，SQL注入是一个严重的安全隐患，它可能导致数据库信息泄露、数据被篡改甚至系统被破坏。为了有效防止SQL注入，参数化查询是一种非常实用的技术。本文将详细介绍在.NET中采用参数化查询防止SQL注入的代码要点。

一、什么是SQL注入

SQL注入是一种通过在应用程序的输入字段中插入恶意SQL代码来改变原有SQL语句逻辑的攻击方式。攻击者利用应用程序对用户输入过滤不严格的漏洞，将恶意的SQL代码注入到正常的SQL语句中，从而执行未经授权的操作。例如，一个简单的登录表单，原本的SQL查询语句可能是这样的：

string sql = "SELECT * FROM Users WHERE Username = '" + username + "' AND Password = '" + password + "'";

如果攻击者在用户名或密码输入框中输入恶意代码，如在用户名输入框中输入 "' OR '1'='1"，那么最终的SQL语句就会变成：

SELECT * FROM Users WHERE Username = '' OR '1'='1' AND Password = '';

由于 '1'='1' 始终为真，攻击者就可以绕过正常的登录验证，直接访问系统。

二、参数化查询的原理

参数化查询是一种将SQL语句和用户输入参数分开处理的技术。在参数化查询中，SQL语句中的变量部分用占位符表示，而用户输入的参数则作为独立的对象传递给数据库。数据库会对这些参数进行安全处理，将其作为普通的数据而不是SQL代码的一部分，从而避免了SQL注入的风险。例如，使用参数化查询的登录SQL语句可以写成：

string sql = "SELECT * FROM Users WHERE Username = @Username AND Password = @Password";

这里的 @Username 和 @Password 就是占位符，具体的参数值会在执行查询时单独传递。

三、在.NET中使用参数化查询

在.NET中，可以使用多种数据库访问技术来实现参数化查询，下面分别介绍使用 ADO.NET 和 Entity Framework 进行参数化查询的方法。

（一）使用 ADO.NET 进行参数化查询

ADO.NET 是.NET 中用于访问数据库的一组类库，下面以 SQL Server 数据库为例，介绍如何使用 ADO.NET 进行参数化查询。

1. 建立数据库连接

using System.Data.SqlClient;

string connectionString = "Data Source=YOUR_SERVER;Initial Catalog=YOUR_DATABASE;User ID=YOUR_USER;Password=YOUR_PASSWORD";
SqlConnection connection = new SqlConnection(connectionString);

2. 编写参数化的 SQL 语句并添加参数

string sql = "SELECT * FROM Users WHERE Username = @Username AND Password = @Password";
SqlCommand command = new SqlCommand(sql, connection);
command.Parameters.AddWithValue("@Username", username);
command.Parameters.AddWithValue("@Password", password);

3. 执行查询并处理结果

try
{
    connection.Open();
    SqlDataReader reader = command.ExecuteReader();
    if (reader.HasRows)
    {
        // 登录成功
    }
    else
    {
        // 登录失败
    }
    reader.Close();
}
catch (Exception ex)
{
    // 处理异常
}
finally
{
    connection.Close();
}

在上述代码中，通过 SqlCommand 的 Parameters 属性添加参数，数据库会自动对参数进行安全处理，从而防止 SQL 注入。

（二）使用 Entity Framework 进行参数化查询

Entity Framework 是.NET 中的一个对象关系映射（ORM）框架，它可以将数据库表映射为.NET 类，从而简化数据库操作。下面是使用 Entity Framework 进行参数化查询的示例。

1. 创建 DbContext 类

using Microsoft.EntityFrameworkCore;

public class MyDbContext : DbContext
{
    public DbSet<User> Users { get; set; }

    protected override void OnConfiguring(DbContextOptionsBuilder optionsBuilder)
    {
        optionsBuilder.UseSqlServer("Data Source=YOUR_SERVER;Initial Catalog=YOUR_DATABASE;User ID=YOUR_USER;Password=YOUR_PASSWORD");
    }
}

public class User
{
    public int Id { get; set; }
    public string Username { get; set; }
    public string Password { get; set; }
}

2. 执行参数化查询

using (var context = new MyDbContext())
{
    var user = context.Users.FirstOrDefault(u => u.Username == username && u.Password == password);
    if (user != null)
    {
        // 登录成功
    }
    else
    {
        // 登录失败
    }
}

在 Entity Framework 中，使用 LINQ 查询时，框架会自动将查询转换为参数化的 SQL 语句，从而避免 SQL 注入。

四、参数化查询的注意事项

1. 避免使用字符串拼接的方式构建 SQL 语句

在编写 SQL 语句时，应尽量使用参数化查询，避免使用字符串拼接的方式将用户输入直接嵌入到 SQL 语句中，因为这样很容易导致 SQL 注入。

2. 对参数进行类型检查和验证

虽然参数化查询可以防止 SQL 注入，但仍然需要对用户输入的参数进行类型检查和验证，确保输入的数据符合预期。例如，对于需要输入整数的字段，应检查输入是否为有效的整数。

3. 及时释放数据库资源

在使用 ADO.NET 进行数据库操作时，应及时关闭数据库连接和释放相关资源，避免资源泄漏。可以使用 using 语句来确保资源的正确释放。

五、总结

在.NET 开发中，SQL 注入是一个不容忽视的安全问题。通过采用参数化查询技术，可以有效地防止 SQL 注入攻击。无论是使用 ADO.NET 还是 Entity Framework，都可以方便地实现参数化查询。在实际开发中，应养成使用参数化查询的习惯，并注意对用户输入进行类型检查和验证，以确保系统的安全性。同时，及时释放数据库资源也是保证系统性能的重要措施。

总之，掌握参数化查询的代码要点对于.NET 开发者来说是非常重要的，它可以帮助我们构建更加安全、稳定的应用程序。